0 calificaciones0% encontró este documento útil (0 votos)
3 vistas4 páginas
La política establece un proceso para revocar el acceso de usuarios después de su terminación o cambio de rol. Aplica al personal de Seguridad TI que administrará el inventario de accesos. Debe conceder y revocar privilegios mínimos según el rol. Las cuentas con muchos privilegios no deben usarse diariamente y deben eliminarse cuando un empleado ya no labora.
La política establece un proceso para revocar el acceso de usuarios después de su terminación o cambio de rol. Aplica al personal de Seguridad TI que administrará el inventario de accesos. Debe conceder y revocar privilegios mínimos según el rol. Las cuentas con muchos privilegios no deben usarse diariamente y deben eliminarse cuando un empleado ya no labora.
La política establece un proceso para revocar el acceso de usuarios después de su terminación o cambio de rol. Aplica al personal de Seguridad TI que administrará el inventario de accesos. Debe conceder y revocar privilegios mínimos según el rol. Las cuentas con muchos privilegios no deben usarse diariamente y deben eliminarse cuando un empleado ya no labora.
Establecer y seguir un proceso, preferiblemente automatizado, para revocar el
acceso a los activos de la empresa, mediante la desactivación de cuentas inmediatamente después de la terminación, revocación de derechos o cambio de rol de un usuario.
ALCANCE
Aplicable al personal del área de Seguridad TI que será el que administra el
inventario de accesos establecidos.
POLITICAS DE GESTIÓN DE CONTROL DE ACCESO
1. Se debe establecer un proceso en el que se conceda y revoquen privilegios para las cuentas de usuario.
2. Se debe de establecer el acceso al mínimo privilegio según el rol del usuario
al que se le requiera dar el acceso.
3. Las cuentas con muchos privilegios no deben de ser utilizadas diariamente. Se
deben tener un listado de cada uno de los usuarios que tengan la mayoría de privilegios y evaluar si realmente es necesario que tengan dichos privilegios. Solo los jefes de área y coordinadores pueden tener más privilegios que un usuario común.
4. Se deben eliminar o revocar de manera inmediata cuando un empleado ya
no labore más en la empresa.
5. Los encargados de seguridad TI deben de inventariar y rastrear las cuentas de
servicio debido a que se puede dejar tokens o contraseñas en texto plano sin cifrar en repositorios de código basados en la nube.
6. Los administradores deben de tener cuentas separadas que no tengan
privilegios elevados para el uso diario en la oficina y deben de iniciar sesión en las cuentas de administrador únicamente cuando vayan a realizar operaciones de administrador que requieran ese nivel de autorización.
SANCIONES
1. Los usuarios no administradores (jefe de área o coordinadores) que
posea accesos de administrador serán investigados y así mismo se evaluarán la acciones que hayan realizado con dichos accesos. El empleado quedará a disposición del gerente de tecnología.
2. El empleado que aun posea lo accesos y privilegios y que los ejecute
una vez que haya abandonado la empresa, se reportará a gerencia la actividad del empleado y el empleado responsable de revocar dichos accesos.
3. Se sancionará con despido al empleado que se sorprenda en el acto
de dar accesos de administrador a usuarios, así mismo, quedará a disposición de la política de sanciones de la empresa. DIAGRAMA ANEXO 1
Departamento de Tecnología y Seguridad TI
IDUSUARIO EMM1
Nombre completo: Julio Saul Ramos Chacon
Entidad: Banco del mundo
Puesto: Oficial de Seguridad TI
Dirección: Cuidad de Guatemala
Correo Electrónico: saulramos@gmial.com
Teléfono: 5656-9898
Nombre del solicitante: Saul Ramos Autorizado por: Gerente de tecnología